Huawei AppGallery: el informe de un desarrollador sobre un error que podría permitir la descarga gratuita de aplicaciones de pago lleva "semanas" sin resolverse

Huawei promociona la seguridad de la App Gallery. (Fuente: Huawei)

La AppGallery es la versión interna de Huawei de algo parecido a Apple's App Store que el OEM se ha visto obligado a establecer después de perder el acceso a la Google Play Store. Un desarrollador afirma que ha mostrado una vulnerabilidad que podría permitir a los usuarios eludir el teórico muro de pago frente a la versión premium de las aplicaciones en el mercado. Sin embargo, Huawei supuestamente no hizo nada sobre la situación durante "semanas" después del informe.

Deirdre O'Donnell, Published 05/23/2022 🇺🇸 🇳🇱 ...

La galería de aplicaciones de Huawei AppGallery de Huawei es un sustituto propio de la tienda Google Play Storedesarrollado en respuesta al bloqueo del OEM bloqueo de usar Android y su ecosistema. La empresa ha sido muy proactiva en cortejar a los desarrolladores para que hagan versiones de sus productos para este nuevo mercado, incluidas las de pago. Sin embargo, según el colaborador de 9to5 Dylan Roussel (también conocido como evowizz), casi no deberían haberse molestado.

Roussel -también desarrollador- se interesó por la AppGallery API y cómo funcionaba, encontrando finalmente un parámetro para obtener un JSON de la interfaz. Contenía información como números de versión, ID de productos y permisoscomo cabría esperar, así como otra que no: un campo para una URL.

No cualquier URL, por supuesto, sino la que apuntaba a una (normalmente en funcionamiento) descargar independientemente de si la aplicación era de pago o no y en ausencia de cualquier firma o verificación en el último caso. Roussel se puso en contacto con Huawei y le informó de este fallo potencialmente grave y que mermaba los ingresos.

El fabricante respondió "5 horas después" -aunque al parecer a través de un correo electrónico "no cifrado"- asegurando a Roussel que investigaría la posible vulnerabilidad sin demora y pidiéndole que no la divulgara en ese momento. Sin embargo, el desarrollador afirma que permaneció sin parchear -y todavía en vigor- durante las 13 semanas siguientes a su informe inicial del 17 de febrero de 2022.

Roussel continúa informando de que Huawei dejó pasar un plazo inicial de divulgación del 25 de marzo sin hacer nada sobre el problema, reconociendo e identificando finalmente la vulnerabilidad el 18 de mayo. El fabricante también esperó hasta esta fecha para hacerlo público, afirmando entonces que el problema "no está solucionado"

Hasta la fecha, no hay información sobre el exploit haya sido realmente ejecutado, o sobre qué aplicaciones de la versión de pago de pago pueden haberse visto afectadas, si es así.